Identitätsrichtlinien › Präventive Identitätsrichtlinien

Präventive Identitätsrichtlinien

Eine präventive Identitätsrichtlinie ist ein Typ von Identitätsrichtlinie, der verhindert, dass Benutzer Berechtigungen erhalten, die zu Interessenkonflikten oder Betrug führen können. Diese Richtlinien unterstützen die Anforderungen eines Unternehmens hinsichtlich der Trennung von Pflichten (Segregation of Duties, SOD).

Präventive Identitätsrichtlinien werden vor dem Senden einer Aufgabe ausgeführt. Mit ihnen kann ein Administrator nach Richtlinienverletzungen suchen, bevor er Berechtigungen zuweist oder Profilattribute ändert. Wenn eine Verletzung vorliegt, kann sie der Administrator beheben, bevor er die Aufgabe sendet.

Beispielsweise kann ein Unternehmen eine präventive Identitätsrichtlinie erstellen, die nicht zulässt, dass Benutzer, die die Rolle "Benutzer-Manager" besitzen, auch die Rolle "Genehmiger für Benutzer" besitzen. Wenn ein Administrator die Aufgabe "Benutzer ändern" verwendet, um einem Benutzer-Manager die Rolle "Genehmiger für Benutzer" zu geben, zeigt CA IdentityMinder eine Meldung über die Verletzung an. Der Administrator kann die Rollenzuweisungen ändern, um die Verletzung zu beheben, bevor er die Aufgabe sendet.

Sie können präventive Identitätsrichtlinien für die folgenden Änderungen erstellen:

• Rollenmitgliedschaft

  Verhindert, dass Benutzer bestimmte Rollen gleichzeitig besitzen.

  Beispielsweise können Benutzer nicht zur gleichen Zeit die Rollen "Benutzer-Manager" und "Genehmiger für Benutzer" besitzen.

• Rollenadministratoren

  Verhindert, dass Benutzer Administratoren bestimmter Rollen sind, wenn sie Administratoren anderer Rollen sind.

  Beispielsweise können Benutzer nicht zur gleichen Zeit Administratoren für die Rollen "Benutzer-Manager" und "Genehmiger für Benutzer" sein.

• Benutzerattribute

  Verhindert, dass Benutzer bestimmte Profilattribute gleichzeitig besitzen.

  Beispielsweise können Benutzer nicht den Titel "Senior Account" haben und zur IT-Abteilung gehören.

• Organisationsattribute

  Verhindert, dass Benutzerprofile in einer bestimmten Organisation erstellt werden.

  Beispielsweise können Administratoren keine Mitarbeiterprofile in der Organisation "Lieferanten" erstellen.

• Gruppenattribute

  Verhindert die Mitgliedschaft von Benutzern in bestimmten Gruppen.

  Beispielsweise können Benutzer nicht Mitglied der Gruppe "Projektteam" und der Gruppe "Accounting" sein.

Weitere Informationen:

Aktionen für Verletzungen präventiver Identitätsrichtlinien